Le problème stockage de données dans le cadre du RGPD
L'actualité récente a suscité des inquiétudes quant à la conformité au RGPD de l'utilisation de Google Analytics dans l'UE, ainsi que d'autres outils de suivi web.
Le problème principal est que Google stocke les données d’utilisateurs européens aux États-Unis, alors que l'UE exige que ces données soient stockées sur son territoire et par des entreprises européennes uniquement. Les données stockées aux États-Unis peuvent être utilisées par le gouvernement américain à tout moment s'il le souhaite, ce qui est en contradiction directe avec certains articles de la loi RGPD.
Actuellement, l'accent est surtout mis sur Google Analytics, l'outil d'analyse web le plus utilisé, mais de nombreux autres outils opérant dans l'UE stockent les données des utilisateurs à l'étranger et ne respectent donc pas la réglementation RGPD.
Les premières répressions juridiques sont en cours
Plus récemment, plusieurs affaires ont indiqué que l'UE commence à sévir dans de tels cas.
Par exemple, l'autorité autrichienne de protection des données (DPA) a jugé que l'utilisation de Google Analytics violait le règlement RGPD, et en France, le CNIL (Centre National de l'Informatique et des Libertés) a déclaré Google Analytics illégal, en déposant des plaintes contre de grandes entreprises telles que Decathlon, Sephora, Leroy Merlin et Auchan.
Qu'en est-il du Luxembourg?
Le Luxembourg dispose également d'un organisme de contrôle chargé de faire respecter la réglementation prévue par le RGPD, le "Centre National pour la Protection des Données" (CNPD). Bien qu'aucune plainte formelle n'ait été émise publiquement à ce jour au Luxembourg, le CNPD a publié des lignes directrices rappelant les règles à respecter en matière de suivi des cookies, que vous pouvez consulter ici.
Le CNPD, aujourd’hui, a déjà émis des sanctions pour des violations locales de la réglementation RGPD, mais à notre connaissance pas encore dans le cadre du web tracking. Nous pensons qu’il n’est qu’une question de temps avant que des sanctions liées au web tracking ne commencent à tomber au Grand Duché. La liste des sanctions infligées par le CNPD est maintenue ici.
Quelles sont les prochaines étapes ?
Avec un si grand nombre de sites web et d'entreprises de toutes tailles qui s'appuient sur Google Analytics, si les actions actuelles des organismes de protection des données continuent dans la direction actuelle, les implications seraient importantes et étendues.
Dans cette optique, Google a plaidé pour l'élaboration d'un cadre clair régissant les transferts de données entre l'UE et les États-Unis, arguant que la loi actuelle sera extrêmement coûteuse pour les entreprises.
Toutefois, à ce jour, aucune orientation claire n'a été prise pour y parvenir.
Ce qui est certain, c'est qu'une tendance claire s'est amorcée vers des applications plus strictes du règlement RGPD.
Il y a plusieurs voies possibles à envisager :
1) L'UE et les États-Unis prennent en compte le plaidoyer de Google et développent un cadre pour les transferts de données.
2) Google décide de stocker toutes les données de l'UE dans l'UE elle-même.
3) Les entreprises peuvent changer d'outil pour trouver une alternative à Google Analytics qui soit conforme à la réglementation.
4) Passage à Google Analytics 4 (GA4). GA4 permet aujourd’hui aux entreprises de stocker des données dans l'UE, et sa facturation est gérée par Google Irlande. e-connect a développé un service de mise en place de sites web sur GA4 et a commencé à utiliser cette solution sur plusieurs comptes.
Si vous avez des questions spécifiques sur GA4, ou si vous souhaitez que nous vous aidions à le mettre en place, contactez notre équipe.
Sources:
Fiche pratique de la CNPD - Cookies & Autres Traceurs
CNPD - Liste des décisions & sanctions
Google - It’s time for a new EU-US data transfer framework
Journal du geek - Google Analytics épinglé en Autriche pour non-respect du RGPD
Les Numériques - Google Analytics viole le RGPD, selon le régulateur autrichien des données
Journal du Net - Google Analytics déclaré illégal par la Cnil : ce n'est que le début
23.02.2022
En poursuivant votre navigation sur notre site, vous acceptez que des cookies soient utilisés afin d’améliorer votre expérience utilisateur et de vous offrir des contenus personnalisés. Plus d'infos